详解织梦DedeCms的安全问题优化解决办法(安全设置)

这篇具有很好参考价值的文章主要介绍了详解织梦DedeCms的安全问题优化解决办法(安全设置)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

很多新手用户在使用织梦CMS程序过程中,难免会碰到挂马中毒现象,所以事先我们要对网站及服务器安全做好预防备份处理。

织梦作为国内第一大开源免费CMS程序,无疑是很多HACK研究的对象,在本身不安全的互联网环境下,更加容易中招,DEDE官方也在很久之前就已经不再对这套系统进行什么版本升级了,安全性不单单是程序本身,也需要我们做好日常的备份和服务器安全防备;

好,废话不多说,下面整理一些比较常用的处理方案:

第一步:安装织梦CMS后,记得一定要删除install 文件夹。

第二步:后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
扩展阅读:修改织梦默认管理员admin教程

第三步:将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的(不定期更改一下)。

第四步:用不到的功能一概关闭(或者剔除/删除),比如会员、评论等,如果没有必要通通在后台关闭。

会员功能关闭:后台--系统--系统基本参数--会员设置--是否开启会员功能(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--会员投稿是否使用验证码(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--是否禁止所有评论(是)

第五步:(1)以下一些是可以删除的目录/功能(如果你用不到的话): 

member 会员功能 【会员目录,一般企业站不需要】
special 专题功能 【专题功能】
tags.php 标签
a 文件夹

(2)管理目录以下是可以删除的文件:

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

dede/file_manage_control.php 【邮件发送】
dede/file_manage_main.php 【邮件发送】
dede/file_manage_view.php 【邮件发送】
dede/media_add.php 【视频控制文件】
dede/media_edit.php 【视频控制文件】
dede/media_main.php【视频控制文件】
dede/spec_add.php、spec_edit.php【专题管理】
dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】

(3)plus以下是可以删除的文件:

删除:plus/guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:plus/task文件夹和task.php【计划任务控制文件】
删除:plus/ad_js.php【广告】
删除:plus/bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:plus/bshare.php【分享到插件】
删除:plus/car.php、posttocar.php和carbuyaction.php【购物车】
删除:plus/comments_frame.php【调用评论,存在安全漏洞】
删除:plus/digg_ajax.php和digg_frame.php【顶踩】
删除:plus/download.php和disdls.php【下载和次数统计】
删除:plus/erraddsave.php【纠错】
删除:plus/feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:plus/guestbook.php【留言】
删除:plus/stow.php【内容收藏】
删除:plus/vote.php【投票】

再有: 不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

第六步:多关注dedecms官方发布的安全补丁,及时打上补丁。

第七步:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

第八步:可下载第三方防护插件,例如:360出品的“织梦CMS安全包” 、百度旗下安全联盟出品的“DedeCMS顽固木马后门专杀”;

第九步:(可选)最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。

补充:还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!

扩展阅读:织梦网站数据备份步骤图解

迄今为止,我们发现的恶意脚本文件有

plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php

大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件;服务器方面,如果是WIN系列的服务器可以安装安全狗等相关的防护工具;

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持yii666。文章来源地址https://www.toymoban.com/news/detail-432570.html

到了这里,关于详解织梦DedeCms的安全问题优化解决办法(安全设置)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 详细的DedeCMS(织梦)目录权限安全设置教程

    一、目录权限 根据统计,绝大部分网站的攻击都在根目录开始的,因此,栏目目录不能设置在根目录。 DEDECMS部署完成后,重点目录设置如下: 1)将install删除。 2) data、templets、uploads、a或html目录, 设置可读写,取消执行的权限(Windows如何设置目录的权限?);当然对于

    2024年02月02日
    浏览(54)
  • 织梦dedecms安全漏洞include/common.inc.php漏洞解决方法

    1.受影响版本织梦dedecms 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。 描述: 目标存在全局变量覆盖漏洞。 1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以

    2024年02月04日
    浏览(91)
  • 如何解决织梦dedecms关键词关连文章出错的问题

    使用织梦dedecms的时候,当你用到:“关连文章(文章内容替换,DEDE的开发人员肯定是打拼音的,关联都会打错)”这个功能的时候, 是不是发现达不到预期的效果?即使你在管理后台系统设置--性能参数里面:“使用关连文章:”选择的是,生成文章后,

    2024年02月03日
    浏览(49)
  • 详解各种dedeCMS织梦后台登陆验证码错误或不显示解决方法大全

    常见的就是验证码输入明明正确但却提示不正确,或者压根不显示。说一下碰到这种情况的几种原因: ①dede版本程序升级操作不正确造成验证码提示不正确 ②更好空间新的空间里pho.ini里gd库配置问题 ③网站空间满了 ④专对5.7版本转移data目录引起的(此种请查看:如何将

    2024年02月02日
    浏览(43)
  • 详解织梦dedecms做的网站首页标题篡改跳转赌博网站解决方案

    织梦dedecms因其强大功能,简单实用的优点常常被用来做企业网站,程序开源使用的人多了网站漏洞多会有中毒的情况,常见的有一种,首页标题描述被篡改,百度快照收录点击后跳转的赌博网站,怎么解决这个问题呢? 首页要做的是搜索程序里的恶意php文件,对比官

    2024年02月02日
    浏览(42)
  • 详解dedecms织梦远程图片本地化https链接图片无法本地化怎么解决

    最近有朋友遇到发布文章时候文章里面带https的站外图片无法本地化,以下是解决办法: 找到  dede//inc/inc_archives_functions.php文件里面GetCurContent($body)这个函数,里面 这一段改为: 第二步: 这一段改为: 搞定,这样发文章就可以把https的远程图片也本地化了 以上就是本文的全

    2024年02月02日
    浏览(38)
  • 织梦dedecms文章简介摘要字数的设置方法

    在Dedecms系统中,文章摘要(能够经过infolen或description相关标签调用)被设置了字数上限为250字符,设置上限的主要目的是减少数据库的冗余,保证网站良好的性能。因而,假如对简介内容不设置上限显然不合理,但是假如能够自在控制这一上限,那么将对网页内容布局带来积

    2023年04月16日
    浏览(91)
  • 织梦DedeCMS [field:highlight/]标签详解(小结)

    我们在制作Tag标签模板时会遇到[field:highlight/]标签 这是标签随机样式 v5.7版官方只放出了2个样式,现在我们可以改为任意个样式 第一步:首选找到    templetsdefaultstylepage.css  里面找到 905行  .tagc1 在后面加上你自己的样式 如:.tagc2 .tagc3 .tagc4 ……等样式/(注意要连续递

    2024年02月02日
    浏览(41)
  • 详解织梦dedecms标签{dede:flink /}用法

    织梦dedecms标签{dede:flink /}用法 首先来了解一下{dede:flink/}的使用,主要支持下边几个属性,type、row、titlelen、linktype、typeid。 1、type属性即type=’text’、type=’image’和type=’textall’。type=’text’是纯文本链接,type=’image’是带有logo的图片链接形式,而type=’textall’则是所有的

    2024年02月02日
    浏览(36)
  • 详解织梦dedecms短信验证码功能(阿里短信)

    现在大部分网站都需要用短信验证码,因为织梦官方没有短信验证码插件,所以写了几个短信验证码插件,一个使用的是阿里云的短信验证码接口,一个使用的是阿里大于的短信验证码接口,一个使用的是阿里通信短信验证码接口,另外一个使用的是云之讯的短信接口。下面

    2024年02月02日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包